Centos8搭建基于kdc加密的nfs

在CentOS8上，我们可以很容易地搭建基于kdc加密的nfs服务器。以下是具体步骤：

1. 安装相关软件

首先，我们需要安装以下软件：

- nfs-utils：nfs服务器软件

- krb5-server：kdc服务器软件

- krb5-workstation：kdc客户端软件

可以使用以下命令来安装：

sudo yum install nfs-utils krb5-server krb5-workstation

2. 配置krb5-server

在配置之前，需要先设置主机名和IP地址。可以使用以下命令来设置：

sudo hostnamectl set-hostname <hostname>
sudo nmcli con mod ens33 ipv4.addresses <ip_address>/24 ipv4.gateway <gateway_ip> ipv4.dns <dns_ip>
sudo systemctl restart NetworkManager

然后开始配置krb5-server，修改/etc/krb5.conf文件。以下是示例配置：

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = EXAMPLE.COM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
 rdns = false

[realms]
 EXAMPLE.COM = {
  kdc = <kdc_server>
  admin_server = <kdc_server>
  default_domain = example.com
 }

[domain_realm]
 .example.com = EXAMPLE.COM
 example.com = EXAMPLE.COM

其中，<kdc_server>替换为kdc服务器的主机名或IP地址。然后，创建krb5数据库，并设置管理员密码：

sudo kdb5_util create -r EXAMPLE.COM
sudo kadmin.local -q "addprinc root/admin"

按照提示输入管理员密码即可。

3. 配置nfs服务器

修改/etc/sysconfig/nfs文件，添加以下行：

GSSDARGS="-vvv"
RPCNFSDARGS="-vvv"

然后，修改/etc/nfs.conf文件，添加以下行：

[nfsd]
 auth_unix = true
 auth_gss = true

接着，修改/etc/idmapd.conf文件，添加以下行：

[Mapping]
 Nobody-User = nobody
 Nobody-Group = nobody

最后，开启nfs和rpcbind服务：

sudo systemctl enable nfs-server rpcbind
sudo systemctl start nfs-server rpcbind

4. 添加nfs共享目录

假设我们将要共享的目录为/home/nfs，我们可以使用以下命令来添加：

sudo mkdir /home/nfs
sudo chmod 777 /home/nfs
sudo chown nfsnobody:nfsnobody /home/nfs

然后，在/etc/exports文件中添加以下行：

/home/nfs *(rw,sync,no_subtree_check,sec=krb5p)

其中，sec=krb5p表示使用kdc加密。

最后，重启nfs服务：

sudo systemctl restart nfs-server

现在，我们已经成功地搭建了基于kdc加密的nfs服务器。在客户端上，可以使用以下命令来挂载该共享目录：

sudo mount -t nfs4 -o sec=krb5p <nfs_server>:/home/nfs /mnt/nfs

其中，<nfs_server>替换为nfs服务器的主机名或IP地址，/mnt/nfs为挂载点。挂载成功后，即可访问该目录。